我正在編寫一個Java應用程序,需要在調用該服務的方法之前登錄到遠程SOAP服務(JIRA)。通過SOAP服務向JIRA進行身份驗證時存儲安全密碼
我看過如何做到這一點的例子,例如http://www.j-tricks.com/1/post/2010/8/jira-soap-client.html,但是我擔心我需要把密碼放到內存中。
我讀過,我應該將密碼存儲爲char [],但仍然存在,我很擔心密碼存儲在明文中。
我該如何存儲我的客戶端用來登錄SOAP服務的密碼?我應該如何閱讀並傳遞給JIRA?
編輯 該應用程序將使用Spring所以這是有可能的密碼將被保存在bean配置文件中,而不是在代碼中。
SOAP登錄方法返回一個可用於會話的字符串標記,因此在使用它之後不需要將密碼存儲在內存中。但我認爲你在談論長期使用。應用程序通常會有一個配置頁面,以允許建立更永久的身份驗證,然後每次連接重新配置時都需要輸入密碼。
好處 - 一旦獲得認證令牌,我可以擦除密碼字符串。然而,應用程序是一個批處理過程,每次啓動時(通常每晚)都需要使用JIRA進行驗證。所以沒有最終用戶配置。我擔心的是,我並不特別喜歡將密碼保存在源代碼或Spring配置文件中。 – johnmmcparland
這就解釋了爲什麼你的引用推薦一個char [] ...一旦密碼找到它進入一個不可變的String對象的方式,它不能被改變,直到它被垃圾回收。 – phatfingers
@phatfingers通常不會由於字符串池 – Woot4Moo
這是我最終決定的。
首先,一些澄清。
我研究了SQL中的加密和Java中的解密方式,但沒有一個特別好。所以我決定採取以下方法。
其他,這是用戶管理和鎖定數據庫的練習,例如,只有某些人(DBA)可以完全訪問並且應用程序使用只讀用戶。
希望這可以幫助別人在未來。
一個很好的問題。我自己試過這樣做,但由於時間不夠,最終不得不放棄。我很好奇,如果有可能的話。 –